ජුලි පැච් වටය අතරතුර, ඇන්ඩ්රොයිඩ් මෙහෙයුම් පද්ධතිය තුළ සක්රීයව සූරාකෑමට ලක් වූ ශුන්ය-දින දුර්වලතා තුනකට ගූගල් ඉක්මනින් ආමන්ත්රණය කළේය. මෙම දුර්වලතා සැලකිය යුතු ආරක්ෂක අවදානම් මතු කළ අතර වහාම අවධානය යොමු කිරීම අවශ්ය විය. නවතම යාවත්කාලීනය ක්ෂණිකව නිකුත් කිරීමෙන්, Google Android උපාංගවල සමස්ත ආරක්ෂාව වැඩි දියුණු කිරීම අරමුණු කරයි.
ශුන්ය දින අවදානම් පිළිබඳ විස්තර
CVE-2023-2136 ලෙස හඳුනාගෙන ඇති එක් දුර්වලතාවක්, Android පද්ධතිය තුළ පවතින අතර දුරස්ථ කේත ක්රියාත්මක කිරීමට ඉඩ සලසයි. විවේචනාත්මක නොව ඉහළ අවදානම් ලෙස වර්ගීකරණය කළද, මෙම දෝෂය දුරස්ථව අත්තනෝමතික කේතය ක්රියාත්මක කිරීමට ප්රහාරකයන්ට හැකි වේ. කෙසේ වෙතත්, ප්රහාරකයා තවමත් වරප්රසාද තීව්ර කිරීමට සහ උපාංගය සම්පූර්ණයෙන්ම සම්මුතියට පත් කිරීමට අමතර අවදානමක් ප්රයෝජනයට ගත යුතුය. ඉතිරි ශුන්ය-දින දුර්වලතා දෙක, CVE-2021-29256 සහ CVE-2023-26083, උපාංගයේ ග්රැෆික් සැකසුම් සඳහා වගකිව යුතු ARM Mali GPU හි කර්නල් ධාවකයට බලපායි. මෙම අවදානම් ප්රහාරකයින්ට මූල ප්රවේශය ලබා දෙන අතර, විභව අවදානම් තවදුරටත් ඉහළ නංවයි.
Google හි ප්රතිචාරය
CVE-2023-26083 අවදානම ගැන Google වහාම ARM වෙත දැනුම් දුන්නා, ARM දැනටමත් සක්රියව සූරාකෑමට ලක්ව ඇති බවට සලකුණු කර ඇත. ARM සමඟ සහයෝගීව, Google Android යාවත්කාලීනයට අවදානම් දෙකම සඳහා අවශ්ය පැච් ඇතුළත් කළේය. කෙසේ වෙතත්, මෙම ශුන්ය-දින දුර්වලතා උත්තේජනය කරන ප්රහාර පිළිබඳ නිශ්චිත තොරතුරු අනාවරණය කර නොමැත.
විවේචනාත්මක දුර්වලතා ආමන්ත්රණය කිරීම
ශුන්ය-දින දුර්වලතා සමඟින්, ජූලි ඇන්ඩ්රොයිඩ් යාවත්කාලීනය තවත් අවදානම් 43ක් ආමන්ත්රණය කරයි, ඉන් දෙකක් තීරණාත්මක ලෙස වර්ගීකරණය කර ඇත. මෙම තීරණාත්මක දුර්වලතා වලින් එකක්, CVE-2023-21250, Android පද්ධතිය තුළ පවතින අතර දුරස්ථ කේත ක්රියාත්මක කිරීමට ඉඩ සලසයි. මෙයින් අදහස් කරන්නේ ප්රහාරකයන්ට පරිශීලක අන්තර්ක්රියා අවශ්ය නොවී දුරස්ථව Android උපාංග පාලනය කළ හැකි බවයි. දෙවන තීරනාත්මක අවදානම, CVE-2023-21629, Qualcomm චිප්ස් වල මොඩම් සංරචකයට බලපායි. මෙම දුර්වලතාවය ප්රයෝජනයට ගැනීමට ප්රහාරකයෙකුට දැනටමත් උපාංගය වෙත ප්රවේශය තිබීම අවශ්ය වේ.
පැච් මට්ටම සහ ලබා ගැනීමේ හැකියාව
Google විශේෂිත පැච් එකක දිනය සහ තත්ත්වය දැක්වීමට පැච් මට්ටම් භාවිතා කරයි. ජූලි යාවත්කාලීන ලබන උපාංග '2023-07-01' හෝ '2023-07-05' පැච් මට්ටමක් පෙන්වනු ඇත. ඔවුන්ගේ උපාංග මෙම පැච් මට්ටමට ළඟා වීම සහතික කිරීම සඳහා, නිෂ්පාදකයින් විසින් ජූලි ඇන්ඩ්රොයිඩ් බුලටින් වෙතින් සියලුම යාවත්කාලීනයන් ඔවුන්ගේ යාවත්කාලීනවලට ඒකාබද්ධ කර ඒවා ඔවුන්ගේ පරිශීලකයින්ට බෙදා හැරිය යුතුය. යාවත්කාලීන කිරීම් Android 11, 12, 12L, සහ 13 සඳහා ලබා දී ඇත.
නිෂ්පාදකයාගේ දැනුවත්භාවය සහ පරිශීලක සලකා බැලීම්
Google විසින් Android උපාංග නිෂ්පාදකයින්ට අවම වශයෙන් මාසයකට පෙර අවදානම් පිළිබඳව දැනුම් දී ඇති අතර, අවශ්ය යාවත්කාලීන සංවර්ධනය කිරීමට සහ ක්රියාත්මක කිරීමට ඔවුන්ට ප්රමාණවත් කාලයක් ලබා දේ. කෙසේ වෙතත්, අත්හිටුවන ලද සහය හෝ නිෂ්පාදකයින්ගේ ප්රමාද යාවත්කාලීන කිරීම් වැනි විවිධ සාධක හේතුවෙන් සියලුම Android උපාංගවලට මෙම යාවත්කාලීන නොලැබෙන බව සැලකිල්ලට ගැනීම අත්යවශ්ය වේ. පරිශීලකයන් තම උපාංගවල ආරක්ෂක තත්ත්වය පිළිබඳව දැනුවත්ව සිටීමට සහ විය හැකි අවදානම් අවම කිරීමට අවශ්ය පූර්වාරක්ෂාවන් ගැනීමට උනන්දු කරනු ලැබේ.
ඇන්ඩ්රොයිඩ් උපාංගවල සමස්ත ආරක්ෂාව ශක්තිමත් කරමින් ජූලි ඇන්ඩ්රොයිඩ් යාවත්කාලීනයේ සක්රීයව සූරාකෑමට ලක් වූ ශුන්ය-දින දුර්වලතා තුන Google විසින් ක්ෂණිකව ආමන්ත්රණය කර ඇත. ARM සමඟ සහයෝගයෙන් සහ අවශ්ය පැච් ඇතුළත් කිරීමෙන්, Google හි අරමුණ දුරස්ථ කේත ක්රියාත්මක කිරීම් සහ අනෙකුත් තීරණාත්මක අවදානම් වලින් පරිශීලකයින් ආරක්ෂා කිරීමයි. පැච් නිකුතුව වැඩිදියුණු කළ ආරක්ෂාව සහතික කරන අතර, නිෂ්පාදකයින් මෙම යාවත්කාලීනයන් ඔවුන්ගේ පරිශීලකයින්ට බෙදා හැරිය යුතුය. විභව තර්ජන වලින් තම උපාංග ආරක්ෂා කර ගැනීමට සුපරීක්ෂාකාරීව සිටීමට සහ හොඳම ආරක්ෂක පිළිවෙත් අනුගමනය කිරීමට පරිශීලකයින් දිරිමත් කරනු ලැබේ.